2017第六章.ppt

主讲人 马莺 会计信息系统 第六章 会计信息系统控制与审计 第一节 会计信息系统风险与控制 一、 会计信息系统的风险 1.风险的概念 风险指未来的不确定性； “风险为出现坏结果的可能性” 2.风险的分类 ①内部风险 ②外部风险 3.会计信息系统风险分析 ①信息系统固有的脆弱性和缺陷 硬件的脆弱性 软件的脆弱性 网络和通讯协议的安全隐患 ②舞弊产生的风险 针对系统硬件的破坏 针对软件系统的破坏 针对数据所做的破坏 计算机病毒 网络黑客 ③信息系统应用和管理上的问题带来的风险 计算机交易授权管理。 职责分离失效，极易出现问题。 企业规模很大，数据完整性较难保证。 二、会计信息系统的控制 1.内部控制 美国COSO委员会在《内部控制－整体框架》的报告中定义： 内部控制是由企业董事会、经理阶层和其他员工实施的，为公司资产的保护、公司运营效率的提高，以及保证财务报告的准确性和相关法令的遵循性等目标的达成而提供合理保证的过程。 2.信息技术的应用对内部控制的影响 （1）内部控制形式发生变化 传统的会计职责的控制失效 传统会计实务中的一些控制措施不再有效 （2）内部控制的内容发生了改变 增加了计算机系统的内部控制内容。 （3）内部控制的重点发生了变化 手工：人及其处理的业务 计算机： 第二节 会计信息系统风险的控制方法 一、会计信息系统控制分类 （1）按照控制的层次划分： 战略控制 管理控制 业务控制 （2）控制作用的范围不同 一般控制 是对会计信息系统的组织、开发、安全和操作系统运行环境所进行的控制。 应用控制 对信息系统的某一具体处理过程所施加的控制，它随着所处理的业务的不同而不同。 二、一般控制 组织控制 操作控制 硬件控制和软件控制 数据资源控制 1.组织控制 将组织作为控制的对象和手段，通过建立具有控制能力的组织结构、采用满足控制要求的组织流程、构筑认同和重视控制的组织文化达到控制的目标，它是其他控制实施和发挥作用的基础。 2.操作控制 主要是建立和实施操作管理制度，对系统使用、操作规程和业务处理几个方面作出规定。 3.硬件控制和软件控制 （1）硬件系统控制 会计信息系统的硬件控制包括网络设施、通信设施、计算机及辅助设备等 ①安装防火墙 ②数字签名 （2）软件系统控制 包括：包括操作系统、工具软件、应用软件 比如：lenven公司为了防止计算机病毒的侵害，采取了如下控制措施 避免来路不明的磁盘和非法拷贝的软件，不允许接收异常的电子邮件 购置反病毒软件，经常对磁盘进行检查及杀毒处理。 分析并评估系统的危害程度，制定防止病毒入侵行动方案 4.数据资源控制 数据资源控制的重点是数据库的管理控制。包括：①访问控制 ②建立数据备份和恢复制度 三、会计信息系统的应用控制 输入过程、计算机处理和存储过程、输出控制 第三节 计算机信息系统环境下的审计概述 计算机信息系统环境及其对审计的影响 计算机信息系统环境下审计的内容 计算机信息系统环境下审计的程序 计算机信息系统环境下制定审计计划的基本程序和步骤 利用计算机编制审计计划 一、计算机信息系统环境及其对审计的影响 (一)计算机信息系统环境的定义 我国： “注册会计师审计的重要会计信息由计算机处理生成的情形” 国际审计准则： “当一个单位对审计有重要影响的会计信息是由任何类型或大小的计算机处理生成时，就存在计算机信息系统环境，而无论该计算机由本单位操作还是由第三者操作” （二）计算机信息系统环境对审计的影响 1.计算机信息系统环境对审计线索的影响。 手工审计线索：凭证、账簿和报表等原始数据 计算机环境下：审计线索基本消失 2.计算机信息系统环境对审计内容的影响 手工环境下：手工处理的各种凭证、帐册、资料及其所反映的经济活动 计算机环境下：计算机系统的评价和对计算机系统所产生的会计数据的评价 3.计算机信息系统环境对审计技术的影响 手工环境下：顺查、逆查、审阅、分析、比较 计算机环境下：计算机辅助审计技术 4.计算机信息系统环境对审计方法的影响 内部控制的变化，导致审计方法改变 5.计算机信息系统环境对审计人员的影响。 要求审计人员利用计算机技术作为一项审计的工具 二、计算机信息系统环境下审计的内容 计算机审计主要包括对计算机会计信息系统 进行审计和以计算机作为审计工具进行审计两方 面的内容。 （一）对计算机会计信息系统进行审计 1.对内部控制系统的审计 2.对系统开发的审计 3.对系统应用程序的审计 4.对系统